# 安全与权限架构

Verra Protocol 的安全与权限架构围绕“非托管执行、最小权限、链上可验证、分层隔离、治理约束”五项原则设计。协议的核心目标不是通过中心化主体对用户资产进行托管或人工承诺，而是将资金分层、状态记录、奖励结算、RWA 数据映射、风险参数更新与治理操作纳入可审计的智能合约体系中，由链上规则完成持续执行。Verra 已在协议规划中明确以真实资产为价值锚、以双层资金隔离为风险边界、以智能合约为执行核心，并将非托管、可验证、可审计、可治理作为长期执行原则。

Verra Protocol 的权限架构可划分为五个层级：用户权限层、协议执行层、数据验证层、治理参数层和安全响应层。各层之间通过智能合约接口交互，但权限边界相互独立。

<figure><img src="/files/EmYnfaqHjvtyrbjzMKkx" alt="" width="563"><figcaption></figcaption></figure>

在该模型中，用户权限主要用于参与、查询、领取、赎回和授权；协议执行层负责资金分层、状态更新和结算触发；数据验证层负责 RWA 与链下数据的可信输入；治理参数层负责协议升级、参数调整和生态金库决策；安全响应层负责异常检测、紧急暂停、审计修复和风险事件处理。

这种分层设计的核心价值在于：资金执行、数据输入、参数治理和安全响应彼此隔离，任何单一权限被滥用时，均不应直接获得对协议全部状态的控制能力。

Verra 的用户资产权限设计以“地址自主管理 + 合约状态记录”为基础。用户通过钱包与协议入口合约交互，资金进入协议后，合约根据既定规则执行双层资金池分配：约 10% 进入流动性敞口层，用于 LP 建设、市场深度和价格发现；约 90% 进入质押保全层，用于主仓隔离、结算缓冲、赎回支持和状态记录。该双层资金隔离结构是 Verra 的核心技术标签，也是协议风险边界设计的基础。

在非托管架构下，协议不应设置由人工审批决定的赎回路径。用户对质押保全层中未划转的资金，应能够通过链上合约发起查询、申请和提取。提取操作需要满足协议状态、结算状态和风险参数要求，但不应依赖中心化人员手动放行。

用户资产权限主要包括：

1. **参与权限**：用户通过协议入口合约提交参与请求，合约记录地址、参与金额、时间戳、资金分层状态和对应的协议身份状态。
2. **查询权限**：用户可以查询自身流动性敞口层状态、质押保全层余额、奖励记录、结算进度、可提取额度和历史事件。
3. **领取权限**：用户领取 VXP 奖励时，协议自动触发结算流程，并按规则更新对应账户的质押保全层状态和奖励状态。
4. **提取权限**：用户可以对质押保全层中未划转部分发起提取，合约根据账户状态和协议规则执行。
5. **授权权限**：用户对代币授权、交互合约调用和钱包签名拥有主动控制权，协议不应在未经授权的情况下转移用户资产。

这一设计使用户资金路径由合约规则执行，而不是由平台后台或人工账户管理。Verra 策划资料中也强调，协议采用非托管架构，用户资产不依赖第三方保管，资金由智能合约管理并在链上透明记录。

#### 管理角色与权限控制

Verra 的管理角色应采用 Role-Based Access Control，即基于角色的权限控制。不同角色只能访问对应模块，且所有高风险权限均应通过多签、时间锁和治理流程约束。

建议的角色划分如下：

| 角色                  | 权限范围                | 权限限制      |
| ------------------- | ------------------- | --------- |
| Protocol Admin      | 协议部署、初始化、模块注册       | 不直接控制用户资金 |
| Governance Executor | 执行 DAO 已通过的参数更新     | 需经过投票和时间锁 |
| Risk Committee      | 风险参数建议、异常监控、紧急暂停建议  | 不可修改用户余额  |
| Oracle Operator     | 提交 RWA 数据、价格数据、凭证状态 | 不可操作资金合约  |
| Treasury Manager    | 生态金库预算执行            | 需多签和治理授权  |
| Security Multisig   | 合约升级、漏洞修复、紧急处理      | 受时间锁和审计约束 |
| Auditor / Monitor   | 读取数据、出具审计报告、监控异常    | 只读权限      |

这种角色拆分可以避免单一地址同时拥有“合约升级 + 资金划转 + 数据输入 + 参数修改”的复合权限。对于任何涉及资金、奖励、参数和升级的敏感操作，协议应采用多签确认、时间锁延迟和链上公告机制，使用户和治理参与者有足够时间识别潜在风险。


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://verraprotocol.gitbook.io/verra-docs/an-quan-yu-shen-ji/an-quan-yu-quan-xian-jia-gou.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.